一种虚拟网络的部署方法及装置与流程

本发明涉及虚拟防火墙技术领域，尤其涉及一种虚拟网络的部署方法及装置。

背景技术：

多租户防火墙系统，指的是多个用户租用同一台物理防火墙。在物理防火墙中，按照用户需求给每一个用户划分出虚拟防火墙，每个虚拟防火墙都是一台虚拟机。

在多租户防火墙系统中，很多情况下用户需要自定义虚拟防火墙的虚拟网络接口数量，以及与物理机的物理网络接口对应的虚拟网络接口。现有技术中，通常使用传统的linux网桥作为连接设备，连接虚拟防火墙的虚拟网络接口与物理机的物理网络接口。

然而，当两个租户同时选用同一物理网络接口时，与该物理网络接口连接的linux网桥会通过广播的方式向两个租户的虚拟机发送数据，两个租户的虚拟机均会同时接收到自身的数据以及另外一个租户的数据，这导致两个租户的数据可能出现混淆，甚至出现安全隐患。

技术实现要素：

有鉴于此，本发明提供了一种虚拟网络的部署方法及装置，用以解决现有技术中当两个租户同时选用同一物理网络接口时，linux网桥通过广播的方式向两个租户的虚拟机发送数据，导致两个租户的数据可能出现混淆，甚至出现安全隐患的问题，其技术方案如下：

一种虚拟网络的部署方法，应用于服务器，所述服务器包括多个物理网口，所述多个物理网口中的一物理网口作为物理管理网口，其它物理网口作为物理工作网口，所述虚拟网络的部署方法包括：

为所述物理管理网口创建openvswitch网桥作为openvswitch管理网桥，并分别为各个所述物理工作网口创建openvswitch网桥作为openvswitch工作网桥，所述物理网口与所述openvswitch网桥一一对应；

在创建虚拟机时，将为所述虚拟机添加的虚拟网口中，与所述物理管理网口对应的虚拟管理网口与所述openvswitch管理网桥关联，将与所述物理工作网口对应的虚拟工作网口与所述openvswitch工作网桥关联；

通过所述openvswitch管理网桥为目标openvswitch工作网桥配置数据下发策略，所述数据下发策略用于指示所述目标openvswitch网桥将目标物理工作网口接收的多个用户的数据分别下发至对应用户的虚拟机的目标虚拟网口，其中，所述目标物理工作网口为任一物理工作网口，所述目标openvswitch工作网桥为为所述目标物理工作网口创建的openvswitch网桥，所述目标虚拟网口为与所述目标openvswitch网桥关联的虚拟工作网口。

所述的虚拟网络的部署方法还包括：

判断是否创建有所述openvswitch管理网桥；

当未创建有所述openvswitch管理网桥时，执行所述为所述物理管理网口创建openvswitch网桥作为openvswitch管理网桥这一步骤；

当所述服务器创建有所述openvswitch管理网桥时，基于预先设置的网络部署信息验证所述openvswitch管理网桥的配置参数的合法性。

所述的虚拟网络的部署方法还包括：

判断是否存在为第一物理工作网口创建的第一openvswitch工作网桥，所述第一物理工作网口为多个物理工作网口中的一物理工作网口；

当存在为所述第一物理工作网口创建的所述第一openvswitch工作网桥时，判断是否存在所述第一物理工作网口；

当不存在所述第一物理工作网口时，删除所述第一openvswitch工作网桥。

所述的虚拟网络的部署方法还包括：

判断是否存在没有创建openvswitch网桥的物理工作网口；

当存在没有创建openvswitch网桥的物理工作网口时，为所述没有创建openvswitch网桥的物理工作网口创建openvswitch网桥。

所述的虚拟网络的部署方法还包括：

基于客户端发送的操作命令对与所述openvswitch网桥关联的虚拟网络接口进行添加、删除或者修改操作。

一种虚拟网络的部署装置，应用于服务器，所述服务器包括多个物理网口，所述多个物理网口中的一物理网口作为物理管理网口，其它物理网口作为物理工作网口，所述虚拟网络的部署装置包括：创建模块、关联模块和配置模块；

所述创建模块，用于为所述物理管理网口创建openvswitch网桥作为openvswitch管理网桥，并分别为各个所述物理工作网口创建openvswitch网桥作为openvswitch工作网桥，所述物理网口与所述openvswitch网桥一一对应；

所述关联模块，用于在创建虚拟机时，将为所述虚拟机添加的虚拟网口中，与所述物理管理网口对应的虚拟管理网口与所述openvswitch管理网桥关联，将与所述物理工作网口对应的虚拟工作网口与所述openvswitch工作网桥关联；

所述配置模块，用于通过所述openvswitch管理网桥为目标openvswitch工作网桥配置数据下发策略，所述数据下发策略用于指示所述目标openvswitch网桥将目标物理工作网口接收的多个用户的数据分别下发至对应用户的虚拟机的目标虚拟网口，其中，所述目标物理工作网口为任一物理工作网口，所述目标openvswitch工作网桥为为所述目标物理工作网口创建的openvswitch网桥，所述目标虚拟网口为与所述目标openvswitch网桥关联的虚拟工作网口。

所述虚拟网络的部署装置还包括：第一判断模块和验证模块；

所述第一判断模块，用于判断是否创建有所述openvswitch管理网桥，当未创建有所述openvswitch管理网桥时，触发所述创建模块为所述物理管理网口创建openvswitch网桥作为openvswitch管理网桥；

所述验证模块，用于当创建有所述openvswitch管理网桥时，基于预先设置的网络部署信息验证所述openvswitch管理网桥的配置参数的合法性。

所述虚拟网络的部署装置还包括：第二判断模块、第三判断模块和删除模块；

所述第一判断模块，用于判断是否存在为第一物理工作网口创建的第一openvswitch工作网桥，所述第一物理工作网口为多个物理工作网口中的一物理工作网口；

所述第二判断模块，用于当存在为所述第一物理工作网口创建的所述第一openvswitch工作网桥时，判断是否存在所述第一物理工作网口；

所述删除模块，用于当不存在所述第一物理工作网口时，删除所述第一openvswitch工作网桥。

所述虚拟网络的部署装置还包括：第三判断模块；

所述第三判断模块，用于判断是否存在没有创建openvswitch网桥的物理工作网口；

所述创建模块，还用于当存在没有创建openvswitch网桥的物理工作网口时，为所述物理工作网口创建openvswitch网桥。

所述虚拟网络的部署装置还包括：操作模块；

所述操作模块，用于基于客户端发送的操作命令对与所述openvswitch网桥关联的虚拟网络接口进行添加、删除或者修改操作。

上述技术方案具有如下有益效果：

现有技术中，当多个租户同时选用同一物理网口时，与该物理网口连接的linux网桥会通过广播的方式向多个租户的虚拟机发送数据，多个租户的虚拟机会同时接收到自身的数据以及其他租户的数据，这导致租户之间的数据可能出现混淆，而本发明提供的虚拟网络的部署方法及装置，为各个物理网口创建openvswitch网桥，并将为虚拟机添加的虚拟网口与对应的openvswitch网桥连接，openvswitch网桥的特性使得其可为各个虚拟机配置数据下发策略，这使得一旦两个租户同时选用同一物理网口时，为该物理网口创建的openvswitch网桥可基于数据下发策略将不同用户的数据下发至对应用户的虚拟机的虚拟网口，例如，同一物理网口同时接收到租户1的数据和租户2的数据时，可将租户1的数据下发至租户1的虚拟机的虚拟网口1，将租户2的数据下发至租户2的虚拟机的虚拟网口1，从而避免了多个租户之间的数据出现混淆，甚至出现安全隐患的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的虚拟网络的部署方法的流程示意图；

图2为本发明实施例提供的虚拟网络的部署方法的一具体实例的一示意图；

图3为本发明实施例提供的虚拟网络的部署方法的一具体实例的另一示意图；

图4为本发明实施例提供的虚拟网络的部署装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种虚拟网络的部署方法，应用于服务器，服务器包括多个物理网口，多个物理网口中的一物理网口作为物理管理网口，其它物理网口作为物理工作网口，虚拟网络包括管理网络和工作网络，请参阅图1，示出了该虚拟网络的部署方法的流程示意图，可以包括：

步骤S101：为物理管理网口创建openvswitch网桥作为openvswitch管理网桥，并分别为各个物理工作网口创建openvswitch网桥作为openvswitch工作网桥。

其中，物理网口与openvswitch网桥一一对应。

示例性的，物理网口包括eth0、eth1、eth2、eth3和eth4，则将eth0作为物理管理网口，将eth1、eth2、eth3和eth4作为物理工作网口，则为eth0创建ovs-br0(ovs-br为openvswitch网桥的简写)，为eth1创建ovs-br1，为eth2创建ovs-br2，为eth3创建ovs-br3，为eth4创建ovs-br4，即一个物理网口对应创建一个ovs-br。

步骤S102：在创建虚拟机时，将为虚拟机添加的虚拟网口中，与物理管理网口对应的虚拟管理网口与openvswitch管理网桥关联，将与物理工作网口对应的虚拟工作网口与openvswitch工作网桥关联。

需要说明是，在多租户防火墙系统中，租户会获得为其分配的物理工作网口(即作为工作网口的物理网口)，示例性的，为其分配的物理工作网口为eth1和eth4，则在服务器为该租户创建虚拟机(即虚拟防火墙)时，会为创建的虚拟机添加与物理工作网口eth1对应的虚拟工作网口eth1′以及与物理工作网口eth4对应的虚拟工作网口eth4′，除此之外，为了便于对虚拟机进行管理，还会为虚拟机添加与物理管理网口eth0对应的虚拟管理网口eth0′。然后，将虚拟工作网口eth1′与为eth1创建的ovs-br1关联，将虚拟工作网口eth4′与为eth4创建的ovs-br4关联，将虚拟管理网口eth0′与为eth0创建的ovs-br0关联。

通过上述过程，物理管理网口、为该物理管理网口创建的openvswitch网桥、以及与penvswitch网桥关联的虚拟管理网口组成了管理网络。管理网络主要是用来管理运行在服务器上的各个虚拟机，并且可查询虚拟机的配置数据和状态数据。同样的，物理工作网口、为该物理工作网口创建的openvswitch网桥以及与该openvswitch网桥关联的虚拟工作网口组成了工作网络。工作网络主要是用来传输用户的业务数据。

步骤S103：通过openvswitch管理网桥为目标openvswitch工作网桥配置数据下发策略，数据下发策略用于指示目标openvswitch工作网桥将目标物理工作网口接收的多个用户的数据分别下发至对应用户的虚拟机的目标虚拟网口。

其中，目标物理工作网口为任一物理工作网口，目标openvswitch工作网桥为为目标物理网口创建的openvswitch网桥，目标虚拟网口为与目标openvswitch网桥关联的虚拟工作网口。

现有技术中，当多个租户同时选用同一物理网口时，与该物理网口连接的linux网桥会通过广播的方式向多个租户的虚拟机发送数据，多个租户的虚拟机会同时接收到自身的数据以及其他租户的数据，这导致租户之间的数据可能出现混淆，而本发明实施例提供的虚拟网络的部署方法，能够为各个物理网口创建openvswitch网桥，并将为虚拟机添加的虚拟网口与对应的openvswitch网桥连接，openvswitch网桥的特性使得其可为各个虚拟机配置数据下发策略，这使得一旦两个租户同时选用同一物理网口时，为该物理网口创建的openvswitch网桥可基于数据下发策略将不同用户的数据下发至对应用户的虚拟机的虚拟网口，例如，同一物理网口同时接收到租户1的数据和租户2的数据时，可将租户1的数据下发至租户1的虚拟机的虚拟网口1，将租户2的数据下发至租户2的虚拟机的虚拟网口1，从而避免了多个租户之间的数据出现混淆，甚至出现安全隐患的问题。

上述实施例提供的方法还可以包括：判断是否创建有与物理管理网口对应的openvswitch管理网桥，当未创建有与物理管理网口对应的openvswitch管理网桥时，为物理管理网口创建openvswitch网桥；当已创建有与物理管理网口对应的openvswitch管理网桥时，基于预先设置的网络部署信息验证openvswitch管理网桥的配置参数的合法性。

需要说明的是，在某些时候可能存在服务器上的物理网口被拔掉的情况，针对这种情况，本发明实施例提供的方法还可以包括：判断是否存在为第一物理工作网口(该第一物理工作网口为服务器上多个物理工作网口中的任一物理工作网口)创建的第一openvswitch工作网桥；当存在为第一物理工作网口创建的第一openvswitch工作网桥时，判断是否存在所述第一物理工作网口；当不存在所述第一物理工作网口时，删除第一openvswitch工作网桥。可以理解的是，当服务器上不存在第一物理工作网口时，为第一物理工作网口创建的第一openvswitch工作网桥也就变成了无效的openvswitch工作网桥，因此，可将其删除。

与上述物理网口被拔掉的情况相对应，还可能存在服务器上插入物理网口的情况，插入物理网口的情况可能包括两种，其一是在服务器上增加扩展网口，即在原有物理网口的基础上新增物理网口，其二是，将拔掉的物理网口重新插上。针对上述情况，本发明实施例提供的方法还可以包括：判断是否存在没有创建openvswitch网桥的物理工作网口；当存在没有创建openvswitch网桥的物理工作网口时，为没有创建openvswitch网桥的物理工作网口创建openvswitch网桥。

在某些时候，为租户分配的物理网口可能发生变更，例如，为某租户分配的物理网口为eth1和eth3，租户发现两个物理网口无法满足其需要，需要增加新的物理网口，或者，由于业务数据的减少，一个物理网口即可满足其需求，需要减少一个物理网口，或者基于某种原因想调换物理网口，例如将物理网口eth3换成eth3，此时，工作网络中与openvswitch网桥连接的虚拟网络需要相应更改，基于上述需求，上述实施例提供的方法还可以包括：基于客户端发送的操作命令对与openvswitch网桥关联的虚拟网络接口进行添加、删除或者修改操作。在一种可能的实现方式中，可设定客户端与服务器之间的管理协议，从而使客户端基于管理协议向服务器发送对虚拟机的虚拟网口进行操作的操作命令，从而使服务器基于管理网络和工作网络对虚拟机的虚拟网口进行操作。

在上述本发明实施例的基础上，现列举一具体实例进行说明：

请参阅图2和图3，服务器上具有8个物理网口，分别为eth0、eth1、eth2、eth3、eth4、eth5、eth6、eth7和eth8，图中的物理网口eth0作为物理管理网口，eth1、eth2、eth3、eth4、eth5、eth6、eth7和eth8作为物理工作网口。

分别为各个物理网口创建openvswitch网桥，具体的，为eth0创建openvswitch网桥ovs-br0，为eth1创建ovs-br1，为eth2创建ovs-br2，为eth3创建ovs-br3，为eth4创建ovs-br4，为eth5创建ovs-br5，为eth6创建ovs-br6，为eth7创建ovs-br7，为eth8创建ovs-br8。

在多租户防火墙系统中，租户会获得为其分配的物理网口，假设有两个租户，分别为租户1和租户2，租户1获得的物理网口为eth1和eth7，租户2获得的物理网口为eth1、eth2和eth8。当为租户1和租户2创建虚拟防火墙1和虚拟防火墙2，需要分别为虚拟防火墙1和虚拟防火墙2添加虚拟网口，需要说明的是，为虚拟防火墙添加虚拟网口的方式有两种:

第一种方式(参见图2)：为虚拟防火墙添加为租户分配的物理网口对应的虚拟网口，具体的，对于租户1，为虚拟防火墙1添加与物理网口eth1对应的虚拟网口eth1′、与物理网口eth7对应的虚拟网口eth7′；对于租户2，为虚拟防火墙2添加与物理网口eth1对应的虚拟网口eth1′、与物理网口eth2对应的虚拟网口eth2′、与物理网口eth8对应的虚拟网口eth8′。另外，对于虚拟防火墙1和虚拟防火墙2，还需分别添加与作为管理网口的eth0对应的虚拟网口eth0′。

第二种方式(参见图3)：将与所有的物理网口对应的虚拟网口均添加至虚拟防火墙，具体的，对于租户1，为虚拟防火墙1添加与物理网口eth0、eth1、eth2、eth3、eth4、eth5、eth6、eth7和eth8对应的虚拟网口eth0′、eth1′、eth2′、eth3′、eth4′、eth5′、eth6′、eth7′和eth8′，同样的，对于租户2，为虚拟防火墙2添加与物理网口eth0、eth1、eth2、eth3、eth4、eth5、eth6、eth7和eth8对应的虚拟网口eth0′、eth1′、eth2′、eth3′、eth4′、eth5′、eth6′、eth7′和eth8′。

在采用第一种方式为虚拟防火墙1和虚拟防火墙2添加完虚拟网口之后，对于虚拟防火墙1，将为其添加的虚拟网口eth1′与ovs-br1连接，将eth7′与ovs-br7连接，并将eth0′与ovs-br0连接；对于虚拟防火墙2，将为其添加的虚拟网口eth1′与ovs-br1连接，将eth2′与ovs-br2连接，将eth8′与ovs-br8连接，并将eth0′与ovs-br0连接。

在采用第二种方式为虚拟防火墙1和虚拟防火墙2添加完虚拟网口之后，对于虚拟防火墙1，将虚拟网口eth0′、eth1′、eth2′、eth3′、eth4′、eth5′、eth6′、eth7′和eth8′中的eth1′与ovs-br1连接、th7′与ovs-br7连接，并将eth0′与ovs-br0连接；对于虚拟防火墙1，将虚拟网口eth0′、eth1′、eth2′、eth3′、eth4′、eth5′、eth6′、eth7′和eth8′中的eth1′与ovs-br1连接、eth2′与ovs-br2连接、eth8′与ovs-br8连接，并将eth0′与ovs-br0连接，即在这种方式中，需要哪个虚拟网口就连接哪个虚拟网口。

需要说明的是，上述两种添加虚拟网口的方式各有其优点，对于第一种方式，其需要创建的虚拟网口数量较少，即虚拟网口的创建时间较短，对于第二种方式，当为租户分配的物理网口发生变动时，例如，为租户1添加了一物理网口eth3，并且，将租户1的物理网口eth7变更为eth6，则此时，不需要为虚拟防火墙1添加虚拟网口，也不需要修改虚拟网口，只需要将虚拟网口eth3′与ovs-br3连接，断开虚拟网口eth7′与ovs-br7的连接，将eth6′与ovs-br6连接即可，即这种方式方便后续虚拟网口与openvswitch网桥的连接调整。

上述物理网口eth0、ovs-br0、虚拟防火墙1的虚拟网口eth0′、虚拟防火墙2的虚拟网口eth0′组成管理网络。同样的，物理网口eth1、ovs-br1、虚拟防火墙1的eth1′、虚拟防火墙2的eth1′组成工作网络，物理网口eth2、ovs-br2、虚拟防火墙2的eth2′组成工作网络，物理网口eth7、ovs-br7、虚拟防火墙1的eth7′组成工作网络，物理网口eth8、ovs-br8、虚拟防火墙2的eth8′组成工作网络。

在某些时候，可能存在物理网口被拔掉的情况，例如，物理网口eth4被拔掉，此时如果服务器上存在与物理网口eth4创建的ovs-br4，则将ovs-br4删除，反之，如果检测到服务器上有新插入的物理网口eth9，则为物理网口eth9创建ovs-br9。另外，还可能存在被拔掉的物理网口重新插入的情况，此时，判断是否存在为新插入的物理网口创建的ovs-br，如果不存在，则为该新插入的物理网口创建ovs-br。

另外，需要说明的是，在为虚拟防火墙添加虚拟网口时，需要基于物理网口的类型添加对应的虚拟网口，例如，需要为虚拟防火墙添加与eth1对应的虚拟网口，如果eth1为光口，则需要为虚拟防火墙添加虚拟光口，如果eth1为电口，则需要为虚拟防火墙添加虚拟电口。

与上述方法相对应，本发明实施例还提供了一种虚拟网络的部署装置，应用于服务器，服务器包括多个物理网口，多个物理网口中的一物理网口作为物理管理网口，其它物理网口作为物理工作网口，请参阅图4，示出了该虚拟网络的部署装置的结构示意图，可以包括：创建模块401、关联模块402和配置模块403。其中：

创建模块401，用于为物理管理网口创建openvswitch网桥作为openvswitch管理网桥，并分别为各个物理工作网口创建openvswitch网桥作为openvswitch工作网桥。

其中，物理网口与openvswitch网桥一一对应。

关联模块402，用于在创建虚拟机时，将为虚拟机添加的虚拟网口中，与物理管理网口对应的虚拟管理网口与openvswitch管理网桥关联，将与物理工作网口对应的虚拟工作网口与openvswitch工作网桥关联。

物理管理网口、为该物理管理网口创建的openvswitch网桥、以及与penvswitch网桥关联的虚拟管理网口组成了管理网络。管理网络主要是用来管理运行在服务器上的各个虚拟机，并且可查询虚拟机的配置数据和状态数据。同样的，物理工作网口、为该物理工作网口创建的openvswitch网桥以及与该openvswitch网桥关联的虚拟工作网口组成了工作网络。工作网络主要是用来传输用户的业务数据。

配置模块403，用于通过openvswitch管理网桥为目标openvswitch工作网桥配置数据下发策略，数据下发策略用于指示目标openvswitch网桥将目标物理工作网口接收的多个用户的数据分别下发至对应用户的虚拟机的目标虚拟网口。

其中，目标物理工作网口为任一物理工作网口，目标openvswitch工作网桥为为目标物理网口创建的openvswitch网桥，目标虚拟网口为与目标openvswitch网桥关联的虚拟工作网口。

本发明实施例提供的虚拟网络的部署装置，可为各个物理网口创建openvswitch网桥，并将为虚拟机创建的虚拟网口与openvswitch网桥连接。

现有技术中，当多个租户同时选用同一物理网口时，与该物理网口连接的linux网桥会通过广播的方式向多个租户的虚拟机发送数据，多个租户的虚拟机会同时接收到自身的数据以及其他租户的数据，这导致租户之间的数据可能出现混淆，而本发明实施例提供的虚拟网络的部署装置，能够为各个物理网口创建openvswitch网桥，并将为虚拟机添加的虚拟网口与对应的openvswitch网桥连接，openvswitch网桥的特性使得其可为各个虚拟机配置数据下发策略，这使得一旦两个租户同时选用同一物理网口时，为该物理网口创建的openvswitch网桥可基于数据下发策略将不同用户的数据下发至对应用户的虚拟机的虚拟网口，例如，同一物理网口同时接收到租户1的数据和租户2的数据时，可将租户1的数据下发至租户1的虚拟机的虚拟网口1，将租户2的数据下发至租户2的虚拟机的虚拟网口1，从而避免了多个租户之间的数据出现混淆，甚至出现安全隐患的问题。

上述实施例提供的虚拟网络的部署装置还可以包括：第一判断模块和验证模块。其中：

第一判断模块，用于判断是否创建有openvswitch管理网桥，当未创建有openvswitch管理网桥时，触发创建模块为物理管理网口创建openvswitch网桥作为openvswitch管理网桥。

验证模块，用于当创建有openvswitch管理网桥时，基于预先设置的网络部署信息验证openvswitch管理网桥的配置参数的合法性。

需要说明的是，在某些时候可能存在服务器上的物理网口被拔掉的情况，针对这种情况，上述实施例提供的虚拟网络的部署装置还可以包括：第二判断模块、第三判断模块和删除模块。其中：

第一判断模块，用于判断是否存在为第一物理工作网口创建的第一openvswitch工作网桥，其中，第一物理工作网口为多个物理工作网口中的一物理工作网口。

第二判断模块，用于当存在为第一物理工作网口创建的第一openvswitch工作网桥时，判断是否存在第一物理工作网口。

删除模块，用于当不存在第一物理工作网口时，删除第一openvswitch工作网桥。

与上述物理网口被拔掉的情况相对应，还可能存在服务器上插入物理网口的情况，插入物理网口的情况可能包括两种，其一是在服务器上增加扩展网口，即在原有物理网口的基础上新增物理网口，其二是，将拔掉的物理网口重新插上。针对上述情况，上述实施例提供的虚拟网络的部署装置还可以包括：第三判断模块。

第三判断模块，用于判断是否存在没有创建openvswitch网桥的物理工作网口。

则创建模块，还用于当存在没有创建openvswitch网桥的物理工作网口时，为所述物理工作网口创建openvswitch网桥。

在某些时候，为租户分配的物理网口可能发生变更，例如，为某租户分配的物理网口为eth1和eth3，租户发现两个物理网口无法满足其需要，需要增加新的物理网口，或者，由于业务数据的减少，一个物理网口即可满足其需求，需要减少一个物理网口，或者基于某种原因想调换物理网口，例如将物理网口eth3换成eth3，此时，工作网络中与openvswitch网桥连接的虚拟网络需要相应更改，基于上述需求，上述实施例提供的虚拟网络的部署装置还可以包括：操作模块。

操作模块，用于基于客户端发送的操作命令对与openvswitch网桥关联的虚拟网络接口进行添加、删除或者修改操作。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

在本申请所提供的几个实施例中，应该理解到，所揭露的方法、装置和设备，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。